Veri Sorumluları; işledikleri kişisel verilerin kanundışı yollarla üçüncü kişilerin eline geçmesi halinde bu durumu en kısa süre içerisinde Kişisel Verileri Koruma Kurulu'na ("KVKK") bildirmekle yükümlüdür. Haberimize konu olan Hotiç Ayakkabı San. ve Tic. A.Ş tarafından Kurula iletilen ihlal bildiriminde ihlalin veri sorumlusu tarafından SMS ile e-posta gönderimleri için oluşturulan izin yönetimi platformuna yetkisiz üçüncü kişilerce erişim sağlanması ile gerçekleştiği belirtilmiştir. KVKK'ya iletilen ihlal bildirimi sonrası KVKK konu ile ilgili gerekli incelemeleri başlatmış; KVKK'nın resmi internet sitesinde sürece ilişkin duyuru yayımlanmıştır.
Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Hotiç Ayakkabı San. ve Tic. A.Ş.
Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.
Veri sorumlusu sıfatını haiz olan Hotiç Ayakkabı San. ve Tic. A.Ş. tarafından Kuruma gönderilen kişisel veri ihlali bildiriminde özetle;
- Veri sorumlusu tarafından SMS ile e-posta gönderimleri için oluşturulan izin yönetimi platformu ile ilgili olarak veri işleyenden hizmet alındığı,
- Bu platform üzerinde veri sorumlusuna tanımlı hesaba 23.06.2023 tarihinde yetkisiz kişiler tarafında giriş yapılmaya çalışıldığı ve müşterilerin cep telefonu bilgilerine erişildiği,
- İlgili kişilere oltalama saldırısını hedefleyen içeriğin yer aldığı kısa mesaj gönderimlerinin gerçekleştirildiği,
- Veri sorumlusu çalışanlarının da bahse konu kısa mesaj gönderim gruplarında bulunması sebebiyle oltalama saldırısına yönelik kısa mesaj gönderiminin başlatılması ile olay anında durumdan haberdar olunduğu,
- İhlalden etkilenen kişi ve kayıt sayısının 1.926.889 olduğu,
- İhlalden etkilenen kişisel verilerin müşterilere ait cep telefonu bilgisi olduğu,
- İlgili kişilerin veri ihlali ile ilgili [email protected] e-posta adresinden veya 0850 288 44 82 numaralı çağrı merkezinden bilgi alabilecekleri
ifade edilmiştir.
Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 07.09.2023 tarih ve 2023/1575 sayılı Kararı ile söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
